더 나은 보안을 위해 토큰 서버와 함께 OpenAi API 키를 사용할 수 있습니까?

OpenAI API 키와 관련된 주요 보안 문제는 키가 노출되면 누구나 OpenAI 계정에 액세스하고 요금을 부과 할 수 있다는 것입니다. 이 위험을 완화하기 위해 검색 결과는 몇 가지 접근법을 권장합니다.

1. AWS Secrets Manager, Hashicorp Vault 또는 Cyberark Conjur와 같은 환경 변수 또는 비밀 관리 서비스를 사용하여 클라이언트 측 코드에 포함시키지 않고 API 키를 서버 측에 안전하게 저장하십시오. [1] [3]

2. API 호출을 OpenAI로 처리하는 자체 서버에서 미들웨어 API를 구현하므로 API 키는 클라이언트에 노출되지 않습니다. [3]

3. 프록시 역할을 할 수있는 Zuplo와 같은 게이트웨이 서비스를 사용하여 API 키를 안전하게 저장하고 필요한 권한 부호를 추가하기 전에 필요한 권한 부여 헤더를 추가하십시오. [4]

4. 무제한 키를 사용하지 않고 API 키의 권한을 필요한 엔드 포인트로만 제한하십시오. [2]

5. API 키를 정기적으로 회전시키고 이전 키를 사용하여 모든 서비스를 업데이트하십시오. [3]

따라서 권장되는 접근 방식은 Token Server 또는 Middleware API를 사용하여 클라이언트 응용 프로그램에 직접 노출하지 않고 OpenAI API 키를 안전하게 관리하는 것입니다. 이것은 API에 액세스 할 수있는 사람에 대한 추가 보안 계층과 제어를 제공합니다. [1] [3] [4]